Explicación del hackeo de $44 millones a CoinDCX

Una brecha que sacudió al sector de criptomonedas de la India

CoinDCX, uno de los intercambios de criptomonedas más importantes de la India, confirmó una violación de seguridad que resultó en el robo de más de 44 millones de dólares en activos digitales. 

El exploit tenía como objetivo una billetera operativa en el Solana Red utilizada para el aprovisionamiento de liquidez, no para las billeteras de los clientes. A pesar de la rapidez y la magnitud del ataque, la compañía insiste en que los fondos de los usuarios permanecen intactos y completamente seguros.

El incidente fue señalado inicialmente no por la empresa sino por un investigador de blockchain. Zach XBT, quien rastreó movimientos sospechosos de fondos e identificó la billetera comprometida como perteneciente a CoinDCX. Su revelación obligó a CoinDCX a responder en cuestión de minutos, lo que marcó uno de los incidentes de seguridad de criptomonedas más notorios en India este año.

Cómo se desarrolló el ataque

Según la empresa de seguridad en cadena cyversEl ataque fue bien planificado y ejecutado con precisión. La configuración comenzó el 16 de julio de 2025, con 1 ETH enviado desde Tornado Cash, un mezclador de criptomonedas que suele usarse para ocultar el origen de los fondos. Este ETH se depositó en FixedFloat, se retiró a Polygon y posteriormente se transfirió a Solana, donde se convirtió a SOL para cubrir las comisiones de transacción.

Según Meir DolevEl 18 de julio, a las 21:07 UTC, el atacante inició una transacción de prueba con tan solo 1 USDT. Fue entonces cuando comenzó el verdadero exploit. En cinco minutos, el atacante robó aproximadamente 44.2 millones de dólares en USDT y USDC de una de las billeteras operativas de CoinDCX en Solana.

La secuencia de retiros es la siguiente:

• 22:09 UTC: 2 millones de dólares
• 22:10: 7 millones de dólares
• 22:11: 10 millones de dólares
• 22:12: 10 millones de dólares
• 22:13: Dos transacciones separadas de 5 millones de dólares cada una
• 22:14: Retiro final de $5 millones

Minutos después, se realizaron transferencias más pequeñas, incluyendo 102,000 USDC y 79,000 USDT. Una parte de los fondos robados (15.8 millones de dólares) se transfirió de Solana a Ethereum, posiblemente para diversificar las rutas y dificultar la recuperación.

CoinDCX responde

La brecha se hizo pública cuando ZachXBT compartió sus hallazgos en Telegram, lo que provocó la rápida confirmación del CEO de CoinDCX, Sumit Gupta. Gupta calificó el incidente como una "sofisticada brecha de servidor" que comprometió una cuenta operativa utilizada en una plataforma de intercambio asociada.

Es importante destacar que Gupta dijo que:

• Todos los activos del usuario se almacenan en billeteras frías
• No se vieron afectados los fondos de los clientes
• La plataforma continúa funcionando normalmente para operaciones y retiros de INR.

"El incidente se contuvo rápidamente aislando la cuenta operativa afectada", enfatizó Gupta. "Dado que nuestras cuentas operativas están separadas de las billeteras de los clientes, la exposición se limita únicamente a esta cuenta específica y la estamos absorbiendo en su totalidad, con nuestras propias reservas de tesorería".

Descubra proyectos prometedores...

Proyectos prometedores...

(Anuncio)

El artículo continúa...

Medidas de seguridad y planes de recuperación en marcha

CoinDCX afirma haber contratado a empresas de ciberseguridad para investigar la brecha y rastrear el movimiento de los activos robados. La compañía está trabajando con el exchange asociado, cuyo nombre no se ha revelado, para congelar los fondos siempre que sea posible. También se está desarrollando un programa de recompensas por errores, cuyo objetivo es identificar vulnerabilidades antes de que los atacantes puedan explotarlas.

A pesar de la filtración, CoinDCX mantiene la solidez de sus sistemas. La compañía lleva tiempo afirmando utilizar una arquitectura de seguridad multicapa. Los fondos se distribuyen entre diferentes billeteras y custodios. 

Los informes mensuales de prueba de reserva han sido un pilar fundamental de la política de transparencia del exchange. También existe un fondo de compensación para cubrir a los usuarios en caso de emergencia, aunque en este caso, los fondos de los clientes no se vieron afectados.

Fundada en 2018, CoinDCX se convirtió rápidamente en el primer unicornio criptográfico de la India en 2021, tras recaudar 90 millones de dólares, con una valoración de 1.1 millones de dólares. En 2022, otra ronda de financiación de 135 millones de dólares casi duplicó su valoración, alcanzando los 2.15 millones de dólares.

En julio de 2024, CoinDCX adquirió BitOasis, con sede en Dubái, una operación que indicó la intención de la compañía de globalizarse. Sin embargo, la reciente filtración de datos ensombrece estas ambiciones. 

Un momento de cautela para las criptomonedas indias

El hackeo se produce casi exactamente un año después del colapso de WazirXOtra importante plataforma de intercambio india que perdió 230 millones de dólares debido a una filtración de datos atribuida al Grupo Lazarus de Corea del Norte. Este ataque provocó el cierre de la plataforma y el fracaso de un plan de reestructuración, con solo 3 millones de dólares recuperados hasta la fecha.

Aunque no está claro si el hackeo de CoinDCX está vinculado a los mismos actores, las similitudes son notables: una filtración de cuentas operativas, una divulgación tardía y la dependencia de Tornado Cash. Hasta el momento, no se ha culpado a ningún estado-nación.

Un problema de centralización

Aunque CoinDCX insiste en su robusta arquitectura, el incidente revela una vulnerabilidad significativa en la gestión de las billeteras operativas por parte de los exchanges centralizados. La cuenta comprometida se utilizaba únicamente para liquidez en una plataforma asociada, pero contenía decenas de millones de dólares, suficiente para atraer a atacantes sofisticados.

A las críticas se suma la restrictiva política de retiro de criptomonedas de CoinDCX. Los usuarios no pueden retirar fondos por defecto. En cambio, los retiros solo se permiten tras una revisión interna basada en evaluaciones de riesgo. Este control centralizado ha generado debate en la comunidad cripto india sobre la autonomía y la transparencia de los usuarios.

En una sesión de preguntas y respuestas en Reddit en mayo, Gupta defendió esta política afirmando que previene el movimiento ilícito de fondos. También minimizó la posibilidad de un ataque similar al de WazirX contra CoinDCX, citando las capas de seguridad, las auditorías internas y los estándares de cumplimiento. Este último incidente ha puesto estas afirmaciones bajo escrutinio.